«Лаборатория Касперского» обнаружила новую волну атак с помощью фальшивых «капчей» — тестов, позволяющих отличить человека от бота, а также сообщений об ошибке в браузере, стилизованных под Google Chrome.
Сначала пользователь ПК кликает на полупрозрачный рекламный баннер на сайте, незаметно растянутый на весь экран. После он попадает на вредоносную страницу, где его просят выполнить несколько шагов якобы для проверки защиты от роботов или устранить проблему в работе браузера.
В результате действий «по инструкции» на компьютер пользователя загружается стилер — вредоносное ПО для кражи данных. Больше всего подобных атак обнаружено в России, Бразилии, Испании и Италии.
Пример сайта, перенаправляющего пользователя на «капчу»
Кроме того, атакующие стали использовать не только стилер Lumma, но и троянец Amadey. Как и Lumma, он позволяет красть логины и пароли из браузеров и криптокошельков, а также выполнять другие действия, например делать скриншоты или загружать на устройство жертвы инструменты для удалённого доступа к компьютеру, что позволяет злоумышленникам получить полный контроль над устройством.
Само заражение происходит так: пользователь должен выполнить по инструкции несколько шагов, например последовательно нажать определённые комбинации клавиш. В результате на устройстве запускается вредоносный скрипт PowerShell, который загружает на него зловред.
«Капча» с инструкцией
Присвоив данные пользователя, зловред также начинает активно «посещать» различные рекламные адреса: вероятно, таким образом злоумышленники получают дополнительную прибыль, накручивая просмотры с заражённого устройства подобно рекламному ПО.
«Покупка рекламных мест под баннеры, которые ведут пользователей на вредоносные страницы, — распространённый метод среди злоумышленников. Однако в этой кампании они существенно расширили свой охват, размещая вредоносную рекламу на сайтах разной тематики, а также использовали новый сценарий с фальшивыми ошибками в браузерах. Это ещё раз напоминает о том, что злоумышленники не стоят на месте, и постоянно совершенствуют свои методы. Чтобы не попасться на их уловки, компаниям и пользователям рекомендуется критически относиться к любой подозрительной информации, которую они видят в сети».
Сначала пользователь ПК кликает на полупрозрачный рекламный баннер на сайте, незаметно растянутый на весь экран. После он попадает на вредоносную страницу, где его просят выполнить несколько шагов якобы для проверки защиты от роботов или устранить проблему в работе браузера.
В результате действий «по инструкции» на компьютер пользователя загружается стилер — вредоносное ПО для кражи данных. Больше всего подобных атак обнаружено в России, Бразилии, Испании и Италии.
Схема та же — инструменты новые
Ранее в этом году уже сообщалось о подобных кибератаках с использованием стилера Lumma. Тогда основной целью злоумышленников были геймеры: вредоносные рекламные баннеры отображались на сайтах с пиратскими играми. Теперь же вредоносы распространяются и другими способами, например через букмекерские сайты, ресурсы с контентом для взрослых, аниме-сообщества.
Пример сайта, перенаправляющего пользователя на «капчу»
Кроме того, атакующие стали использовать не только стилер Lumma, но и троянец Amadey. Как и Lumma, он позволяет красть логины и пароли из браузеров и криптокошельков, а также выполнять другие действия, например делать скриншоты или загружать на устройство жертвы инструменты для удалённого доступа к компьютеру, что позволяет злоумышленникам получить полный контроль над устройством.
Само заражение происходит так: пользователь должен выполнить по инструкции несколько шагов, например последовательно нажать определённые комбинации клавиш. В результате на устройстве запускается вредоносный скрипт PowerShell, который загружает на него зловред.
«Капча» с инструкцией
Присвоив данные пользователя, зловред также начинает активно «посещать» различные рекламные адреса: вероятно, таким образом злоумышленники получают дополнительную прибыль, накручивая просмотры с заражённого устройства подобно рекламному ПО.
«Покупка рекламных мест под баннеры, которые ведут пользователей на вредоносные страницы, — распространённый метод среди злоумышленников. Однако в этой кампании они существенно расширили свой охват, размещая вредоносную рекламу на сайтах разной тематики, а также использовали новый сценарий с фальшивыми ошибками в браузерах. Это ещё раз напоминает о том, что злоумышленники не стоят на месте, и постоянно совершенствуют свои методы. Чтобы не попасться на их уловки, компаниям и пользователям рекомендуется критически относиться к любой подозрительной информации, которую они видят в сети».
